資源描述:
《信息安全管理與監(jiān)管new》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、杭州精英在線系列課件http://www.jy365.net信息安全管理與監(jiān)管宗勇云南大學(xué)網(wǎng)絡(luò)與信息中心主任信息安全管理與使用技術(shù)知識第二章,信息安全管理與監(jiān)管�����。本章包含五題內(nèi)容�����。技術(shù)與管理的關(guān)系一直是信息安全工作的熱點問題��,從BISS公布的數(shù)據(jù)看��,超過70%的信息安全事故如果事先加強管理都是可以得到避免的��,也就是三分技術(shù)����,七分管理,二者并重���。一���、信息安全管理組織、人員和制度第一題��,信息安全管理組織��、人員和制度�����。信息安全的組織機構(gòu)是實施信息安全管理的必要保證��。如圖所示���,信息安全管理組織主要包括安全審查和決策機構(gòu)���、安全主管機構(gòu)����、安全運行維護(hù)機構(gòu)���、安全審計機構(gòu)�����、安全培訓(xùn)和安全工作
2��、人員�����。通常用信息安全問題是由單位內(nèi)部的專門機構(gòu)控制和管理的���,必要時,應(yīng)與外部相關(guān)組織進(jìn)行溝通協(xié)調(diào)�,各單位在進(jìn)行自身信息安全管理工作時應(yīng)與與公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門密切配合。主要體現(xiàn)如圖所示的三個層次����。符合性(合規(guī)性)管理:是指單位、組織根據(jù)自身業(yè)務(wù)特點和具體情況所制定的信息安全管理辦法和規(guī)范�����,必須符合國家信息安全相關(guān)法律���、法規(guī)的規(guī)定�。符合性從單位自身微觀的層次上體現(xiàn)了信息安全管理與國家的宏觀的信息安全管理的一致和配合�����。信息安全的人員管理����,人員的素質(zhì)是提高信息安全性致關(guān)重要的因素。信息安全的人員管理中�,人員因素是信息安全管理環(huán)節(jié)中最重要的一環(huán),全面提高人員的技術(shù)水平����、道
3、德品質(zhì)����、政治覺悟和安全意識是信息安全的重要保障�。信息安全工作人員管理包括安全審查��、安全保密管理�����、安全教育培訓(xùn)���、崗位安全考核�����、離崗人員安全管理等幾個方面�。事實證明��,許多安全事件都是由內(nèi)部人員造成的�,因些對于關(guān)鍵崗位必須建立嚴(yán)格的人員安全審查制度,把好人員安全管理的第一關(guān)��,各單位的信息系統(tǒng)和內(nèi)部資源應(yīng)跟極其敏感程度和重要程度進(jìn)行密集劃分�,信息資源的密集直接決定了接觸和管理試信息資源的崗位對人員安全等級的要求,因依此要求建立相應(yīng)的人員安全審查的標(biāo)準(zhǔn)�����,人員的安全審查應(yīng)該從安全意識、法律意識���、安全技能等幾方面進(jìn)行,應(yīng)試具有政治可靠�、思想進(jìn)步、作風(fēng)正派����、技術(shù)合格等基本素質(zhì),關(guān)鍵崗位人員的
4��、審查標(biāo)準(zhǔn)���。杭州精英在線系列課件http://www.jy365.net信息系統(tǒng)的關(guān)鍵崗位人員的審查標(biāo)準(zhǔn)應(yīng)具有以下幾個方面�����,一般必須是單位組織的正式員工�、必須經(jīng)過嚴(yán)格的政審��、背景和資歷調(diào)查����、必須經(jīng)過業(yè)務(wù)能力的綜合考核�����、不得出現(xiàn)在其他關(guān)鍵崗位兼職的情況��。應(yīng)根據(jù)單位��、組織相關(guān)秘密保護(hù)辦法與信息安全工作人員簽訂保密協(xié)議�����,通過保密協(xié)議約定工作范圍���、工作期限以及處罰和審查事項等。同時應(yīng)定期對安全工作人員進(jìn)行法律法規(guī)��、方針政策�、操作流程和技能的訓(xùn)練與考核。培訓(xùn)內(nèi)容主要有三個方面�����,第一基本安全教育及基本概念可能存在的威脅和風(fēng)險、理解相關(guān)方針和規(guī)章制度���、提高安全意識��、掌握基本安全操作概念�����。二���、
5����、專業(yè)安全方面的培訓(xùn)及職業(yè)道德教育與崗位相關(guān)安全技術(shù)理論培訓(xùn)、崗位職能和操作技能培訓(xùn)����。第三方面,安全的高級培訓(xùn)及國家和行業(yè)相關(guān)法律法規(guī)���、全面的安全技術(shù)理論和知識�、全面的安全管理理論����、安全工程理論����、關(guān)鍵崗位職能與責(zé)任的培訓(xùn)�����。定期的考核��,崗位安全考核����,主要是從思想政治和業(yè)務(wù)表現(xiàn)兩方面進(jìn)行。對于離崗人員安全管理�����,應(yīng)該按照離崗的不同原因��,建立技術(shù)人員離崗的安全管理制度:一����、正常離崗人員。正常離崗之前要旅行移交手續(xù)��,完成密碼、設(shè)備����、技術(shù)資料及相關(guān)敏感信息的移交。相關(guān)系統(tǒng)必須更換口令���,取消該人員所使用過的所有帳號�����,向離崗人員重申安全保密責(zé)任和義務(wù)����。二�����、強制離崗人員���,必須嚴(yán)格辦理調(diào)離手續(xù),必
6�����、要時應(yīng)在調(diào)離決定通知其本人之前,立即或者提前進(jìn)行移交手續(xù)�,不能拖延。第三種情況��,因工作問題被解聘人員���,應(yīng)該嚴(yán)格審查其工作問題���,嚴(yán)格執(zhí)行相關(guān)處罰,若有觸犯法律�����、法規(guī)的行為��,應(yīng)依法追究其法律責(zé)任��。在信息安全的制度管理方面��,應(yīng)該結(jié)合本單位的實際情況����,編制完整的、全面的���、分層次的信息安全的制度管理制度和規(guī)范��,并加以認(rèn)真貫徹落實��。下面列舉三個信息安全管理制度:一���、物理環(huán)境安全管理規(guī)范��,它包括安全域���、門禁控制、監(jiān)控與報警����、電源和電纜管理、環(huán)境管理與維護(hù)���、設(shè)備常規(guī)管理����、變更管理�、事故處理等��。二、終端計算機安全使用規(guī)范����,包括安裝防病毒軟件、操作系統(tǒng)定期自動升級����、密碼保護(hù)、IE安全級別設(shè)置����、郵
7、件管理�、重要文件備份等。三��、包括防火墻系統(tǒng)管理規(guī)范�����,包括明確崗位職責(zé)���、防火墻的規(guī)劃部署��、配置測試��;狀態(tài)監(jiān)控�����、日志分析���、安全事件的響應(yīng)處理等�。二�����、互聯(lián)網(wǎng)�����、重點單位信息安全管理第二個問題����,互聯(lián)網(wǎng)、重點單位信息安全管理����。《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》�、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》的國家現(xiàn)行的法律法規(guī)���,在安全保護(hù)職責(zé)����、安全管理制度��、安全保護(hù)技術(shù)措施��、禁止行為等方面對互聯(lián)網(wǎng)服務(wù)提供者�����、互聯(lián)網(wǎng)數(shù)據(jù)中心�、聯(lián)網(wǎng)使用單位做出明確的規(guī)定和要求。杭州精英在線系列課件htt
